全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

如何确保强制交易模拟执行与真实执行的一致性

文章讨论了在区块链交易中模拟执行与实际执行之间状态差异的问题。提出了一种通过在交易中附加状态约束来解决此问题的方法,这些约束在交易执行前进行检查,确保交易在符合预期状态的条件下进行,从而提高交易的安全性和可靠性。文章还探讨了EIP-7702等以太坊改进提案如何为此方法提供更好的用户体验和效率
交易模拟  状态约束  EIP-7702  智能合约  区块链安全  状态发散 

快速入门指南 - OpenZeppelin 文档

本文档是OpenZeppelin Monitor的快速入门指南,介绍了如何设置和使用OpenZeppelin Monitor来监控区块链事件和交易,包括EVM和Stellar网络。通过自动化或手动方式设置Monitor,配置监控USDC transfer和Stellar DEX swap,并设置Slack和Email的通知。
OpenZeppelin Monitor  区块链监控  EVM  Stellar  USDC transfer  DEX swap  Slack  Email 

顶级智能合约审计师的真实收入有多少?

本文介绍了智能合约审计领域中一些顶级审计师的收入情况,包括Trust、Pashov、Owen Thurm和CMichel。这些审计师通过智能合约审计、安全咨询、漏洞赏金等方式获得了可观的收入,表明智能合约审计是区块链生态系统中一个重要的且经济回报丰厚的职业道路。
智能合约审计  区块链安全  漏洞  赏金  收入  Web3 

现代重入攻击:超越常见利用方式

本文深入探讨了现代重入漏洞,这种漏洞不仅仅是传统意义上的在状态更新完成前进行外部调用。文章通过实例展示了如何在只读视图(view)函数中利用重入漏洞,以及自动化检测工具的局限性。同时,强调了安全审计的重要性,并提出了有效的防御措施,例如在执行过程中防止关键视图调用。
重入漏洞  智能合约  安全审计  视图函数  以太坊  攻击向量 
  • cantina
  • 发布于 2025-06-25
  • 阅读 ( 641 )
  • ( 28 )

HuionePay链上分析:揭示超过550亿美元的USDT资金流动

本文是由SlowMist团队发布的关于HuionePay平台在TRON链上USDT交易活动的链上分析报告。报告利用MistTrack工具和Dune Analytics数据面板,深入分析了HuionePay的资金流动模式、交易频率和活跃地址数据,揭示了该平台与非法资金流动的潜在联系,并强调了持续监控和加强AML合规的重要性。
HuionePay  USDT  TRON  链上分析  反洗钱  MistTrack 
  • slowmist
  • 发布于 2025-06-24
  • 阅读 ( 936 )
  • ( 70 )

Fuzzland安全事件披露与社区公告

Fuzzland披露了一起安全事件的详细信息,该事件导致Bedrock的UniBTC协议遭到利用。一名前Fuzzland员工利用内部权限,通过社会工程、供应链攻击等手段窃取敏感信息,导致UniBTC协议被利用。Fuzzland已补偿Bedrock的损失,并与安全公司及执法部门合作进行调查,同时分享经验教训,以帮助加密社区加强防御。
供应链安全  社会工程  内部威胁  安全事件  漏洞利用  信息安全 
  • Fuzzland
  • 发布于 2025-06-24
  • 阅读 ( 758 )
  • ( 61 )

区块链的可升级性模式分析 - ImmuneBytes

文章探讨了智能合约的可升级性,对比了以太坊、Solana、Cosmos和Substrate等不同区块链生态系统中实现升级的不同模式,并分析了各种升级模式下的安全风险,例如访问控制不当、状态损坏、合约崩溃和治理漏洞,最后给出了安全升级的建议。
智能合约  可升级性  代理模式  EVM  Solana  Cosmos 

攻破电话:如何解决Ethernaut的挑战#4

本文深入解析了Ethernaut的Phone挑战,揭示了Solidity中`tx.origin`和`msg.sender`的区别及其安全隐患。通过构建攻击合约并利用Foundry进行测试和部署,展示了如何利用`tx.origin`漏洞篡夺合约所有权。强调在实际DeFi项目中应避免使用`tx.origin`进行身份验证,并推荐使用`msg.sender`或基于角色的访问控制。
tx.origin  msg.sender  Solidity  漏洞  Foundry  智能合约安全 

安全销毁用户拥有的对象

AIP-45 提议了一种机制,允许 Aptos 用户将拥有的任何对象单方面转移到一个全局销毁地址,从而解决用户账户上出现不希望的内容的问题。这使得用户能够通过将不需要的数据的所有权转移到安全销毁地址,来管理与其账户关联的数据。此提案旨在缓解接收未经请求内容的问题,并已选择为一种安全手段,可以在不破坏其他应用程序的情况下删除与用户账户关联的内容。
Aptos  对象销毁  数字资产  安全  区块链  未请求内容 

🔓 Ethernaut挑战#8:Vault的幻象——为什么“Private”在以太坊上实际上并非真的私有……

本文深入分析了以太坊智能合约中“private”变量的安全性误解,指出区块链的透明性使得任何人都可能通过分析读取合约存储中的敏感数据。
智能合约安全  区块链安全  以太坊  private变量  存储漏洞  零知识证明  多重签名 

BlockThreat - 2025年第24周

该文章是BlockThreat发布的一篇安全周报,内容涵盖了加密货币领域的最新安全事件、犯罪活动、网络钓鱼、诈骗以及恶意软件等信息。此外,还包括一些研究论文、安全工具以及媒体报道,例如Bitrue被攻击事件,以及关于Cosmos,Solana,Uniswap V4, NFT智能合约安全等方向的研究。
安全漏洞  网络钓鱼  加密货币犯罪  恶意软件  智能合约安全  供应链安全 

Foundry高级作弊码系列:第三部分 - 断言作弊码

in  Foundry 高级作弊码系列
本文是Foundry cheatcodes系列文章的第三部分,主要介绍了 Foundry 中的断言作弊码,包括 vm.expectRevert(用于测试必须抛出的情况)、vm.expectEmit(用于验证事件和topic)和 vm.expectCall(用于断言外部交互)。
Foundry  cheatcodes  智能合约  测试  断言  vm.expectRevert  vm.expectEmit  vm.expectCall 

网络安全新纪元:欢迎来到量子稳健云

文章主要介绍了AWS KMS云服务开始支持Post-Quantum Cryptography (PQC) 的签名算法,特别是ML-DSA。作者分享了在AWS上使用ML-DSA签名密钥的实践过程,包括如何创建、配置以及通过AWS CLI进行操作。最后,作者表达了对PQC技术在云安全领域应用的乐观态度,并展望了未来基于格和哈希签名的新型数字信任体系。
Post-Quantum Cryptography  PQC  ML-DSA  AWS KMS  云安全  密钥管理 

访问控制 - OpenZeppelin 文档

本文档介绍了智能合约中访问控制的重要性,并详细讲解了OpenZeppelin提供的Ownable和AccessControl组件来实现不同级别的访问控制。Ownable适用于简单的所有权管理,而AccessControl则通过角色定义,提供更灵活的权限控制。此外,还介绍了使用TimelockController实现延迟操作,以防止恶意管理员行为,保护用户利益。
访问控制  ownable  AccessControl  角色  TimelockController  权限管理 

Foundry 高级作弊码系列:第二部分 - 作弊码 vm.prank,模拟调用

in  Foundry 高级作弊码系列
本文介绍了 Foundry 的一个非常有用的 Cheatcode:vm.prank,它允许开发者在测试中模拟任何地址作为 `msg.sender`,从而方便地测试访问控制和各种边界情况。
Foundry  vm.prank  msg.sender  智能合约  安全测试  cheatcode 

🕵️ 智能合约猎手的剧本:克隆、分析、利用

本文介绍了使用 Foundry 和 AI 工具进行智能合约漏洞挖掘的三步流程:克隆链上合约,使用 Cursor 进行 AI 辅助代码分析,以及构建 Mainnet Fork PoC 验证漏洞。文章详细阐述了每个步骤中使用的工具和技术,并提供了实际案例和最佳实践,适用于希望提升智能合约安全研究技能的开发者和安全研究人员。
智能合约  漏洞挖掘  Foundry  AI  安全  区块链 

Web3 安全入门:常见的硬件钱包陷阱

本文主要介绍了使用硬件钱包时可能存在的安全风险,包括购买时的假冒硬件钱包和恶意引导,使用时的钓鱼攻击和中间人攻击,以及存储和备份恢复短语时的风险。文章通过实际案例分析了这些风险,并提供了实用的安全建议,例如从官方渠道购买硬件钱包、注意签名授权、安全存储恢复短语等,旨在帮助用户更好地保护加密资产。
硬件钱包  安全  钓鱼攻击  中间人攻击  恢复短语  加密资产 
  • slowmist
  • 发布于 2025-06-18
  • 阅读 ( 535 )
  • ( 29 )

零知识虚拟机(zkVM)简介

本文是零知识虚拟机(zkVM)安全系列的第一篇文章,主要介绍了zkVM的基本概念、工作原理及其在可验证计算中的作用。文章还简要介绍了zkEVM及其在区块链中的应用,并概述了该系列后续文章的主题,旨在为零知识领域的研究人员和zkVM开发者提供有用的安全指导。
零知识证明  虚拟机  zkVM  zkEVM  可验证计算  RISC Zero 
  • Veridise
  • 发布于 2025-06-18
  • 阅读 ( 772 )
  • ( 28 )

Code4rena 将免费举办审计竞赛

Code4rena 将对其所有的审计竞赛免除平台费用,致力于提高整个加密行业的安全性。竞赛平台应作为公共产品存在,而非寻求租金的业务。Zellic 通过传统的私有审计盈利,并将 Code4rena 视为人才管道,持续投资于平台和社区。
  • zellic
  • 发布于 2025-06-18
  • 阅读 ( 214 )

如何编写一份全面的审计报告:来自实战的经验——ImmuneBytes

本文主要讨论了智能合约审计报告的重要性以及如何编写高质量的审计报告。强调了审计报告不仅要列出漏洞,还要讲述系统如何工作、在哪里出现问题以及如何修复。文章还分享了编写审计报告的实用经验,包括报告的结构、内容要点以及如何清晰地表达技术细节。
智能合约  审计报告  漏洞  安全  代码质量  最佳实践